pfSense: High Availability (HA) – Alta Disponibilidade entre dois servidores

Informações importantes

Neste tutorial estaremos demostrando a forma simples de como realizar uma Alta Disponibilidade entre dois pfSenses (HA – High Availability), onde é realizado uma redundância entre os mesmos, afim de aumentar a disponibilidade e segurança da rede, visto que aumenta tolerância a falhas.

Tendo o cenário onde você possua apenas um link de internet e dois servidores firewall, iremos necessitar que cada servidor tenha três interfaces de rede.

• Interface 01 – WAN
• Interface 02 – LAN
• Interface 03 – SYNC

Informações Iniciais

Serão necessárias 3 faixas de rede diferentes.

Cada faixa contemplará:

• 3 IP’s disponíveis para a WAN, sendo um para cada servidor e um terceiro para ser usado como IP Virtual;
• 3 IP’s disponíveis para LAN, sendo um para cada servidor e um terceiro para ser usado como IP Virtual;
• 2 IP’s disponíveis em uma terceira faixa para sincronismo do HA.

No primeiro pfSense (Primário ou Master)

Configurar IP livre e válido da WAN
Configurar IP livre e válido na LAN
OBS: Placa “sync” será configurada adiante, inicialmente configuraremos somente “WAN” e “LAN”

No segundo pfSense (Secundário ou Slaver)

Configurar IP livre e válido da WAN
Configurar IP livre e válido na LAN
OBS: Placa “sync” será configurada adiante, inicialmente configuraremos somente “WAN” e “LAN”

Em ambos os pfSense’s, configurar a interface de sincronismo.

Na aba superior, procure: Interfaces >> Assign >> Add
Ao adicionar a placa, nomeie, em “Description” para “Sync”, padrão de nomenclatura adotado para a sincronização deste tutorial.
IPv4 ConfigurationType: Static IPv4
IPv4 Adress: Adicione a terceira faixa de rede (diferente da WAN e LAN, configuradas anteriormente).
Mascara: /24

Para ambos, faça a configuração de acordo com os IP’s livre adotados, no caso do PRIMÁRIO: 10.0.0.1 e do SECUNDÁRIO: 10.0.0.2, ambos com máscara de rede /24

Após configurado a interface SYNC, navegue para: Firewall >> Rules >> Sync
Adicione a regra e configure-a seguindo os passos:
Action: PASS
Interface: Sync
Address Family: IPv4
Protocol: Any (liberando tráfego de todo tipo de protocolo)

OBS: Caso queira algo mais restritivo basta liberar apenas o protocolo CARP, faça isso nos dois pfSense’s.

No pfSense Secundário, realize a seguinte etapa:

Vá em System >> High Avail. Sync
Realize a seguinte configuração: Synchronize States (deixar marcado)
Synchronize Interface: Sync

No pfSense Primário, realize a seguinte etapa:

Vá em System >> High Avail. Sync
Realize a seguinte configuração: Synchronize States (deixar marcado)
Synchronize Interface: Sync
A Diferença entre o primário e o secundário inicia agora:

• Em pfsync Synchronize Peer Ip: Insira o IP da placa SYNC do Secundário, que é quem irá receber a sincronização.
• Repita o mesmo IP em: Synchronize Config to IP.
• Remote System Username: usuário do pfSense que irá receber a sincronização (Secundário)
• Remote System Password: Senha do pfSense que irá receber a sincronização (Secundário)
• Select Options to Sync: Nesta etapa, será marcado TODOS os serviços que irão realizar sincronização entre os pfSense’s.

Realizado os procedimentos acima, vá até a Aba Firewall >> Virtual IP’s, adicione uma regra:

Configurando a primeira regra de WAN:

• Type: CARP
• Address Type: Single Address
• Address: Utilize um TERCEIRO IP WAN disponível na rede, gateway /24
• Virtual IP Password: Por padrão, o mesmo do pfSense
• Adversiting Frequency: Essa opção determina se você é o Primário (Master) ou secundário (Slave), no caso, como estamos configurando o Primário, a configuração é: Base 1 | Skew 0
• Save

Configurando a segunda regra de LAN

• As regras assemelham-se as da WAN, porém a Interface é alterada para LAN
• Address: Será utilizado um terceiro IP para placa virtual, que servirá como ponto flutuante, atuando como Gateway da rede, caso um pfSense falhe, aquele que tomar seu lugar assume este gateway, tornando possível a redundância.
• Em VHID group, nota-se que muda para “2”, indicando ser a segunda regra ser configurada (A primeira foi da WAN)
• Base = 1 | Skew = 0

Realizando todo o passo a passo acima, tecnicamente está funcionando a Alta Disponibilidade (HÁ) entre os pfSense’s.
Para testarmos a funcionalidade:
Vá em: Status >> Carp (FailOver)
No pfSense Principal, aparecerá em baixo dos status das duas redes criadas (WAN e LAN) a descrição “MASTER”, enquanto no pfSense Secundário aparecerá “BACKUP”.
Note que, mesmo realizando as configurações no Master, no Slave também aparecerá as placas de rede e a descrição “BACKUP”
Qualquer configuração realizada dentro do escopo que foi configurada parar sofrer Sincronização, será repassada ao Secundário.